[Cet article a été mis à jour avec les commentaires exclusifs de PureVPN. Faites défiler ci-dessous pour plus de détails]

PureVPN comportait deux vulnérabilités qui permettraient aux pirates de récupérer les mots de passe stockés via le client VPN. Ceci a été confirmé par le chercheur en sécurité de Trustwave, Manuel Nader, et le fournisseur de réseau privé virtuel lui-même..

L’une des deux vulnérabilités a été corrigée dans l’intervalle, tandis que l’autre reste active et PureVPN a, selon Nader, “accepté le risque”.

La vulnérabilité qui a été corrigée a vu les mots de passe enregistrés stockés en texte brut à cet emplacement: 'C: \ ProgramData \ purevpn \ config \ login.conf

Tous les utilisateurs ont eu la possibilité d'accéder au fichier et de le lire en l'ouvrant simplement via le CMD. Cette vulnérabilité a été corrigée dans la version 6.1.0. et quiconque utilise PureVPN est fortement conseillé de mettre à jour à la dernière version, dès que possible.

PureVPN toujours vulnérable

La deuxième vulnérabilité est celle qui reste ouverte et la société a décidé d’accepter le risque. Voici comment Trustwave explique la vulnérabilité:

“Le client Windows PureVPN fourni par PureVPN peut permettre à un attaquant local de récupérer le mot de passe stocké du dernier utilisateur ayant réussi à se connecter au service PureVPN. De ce fait, un attaquant local peut obtenir les informations d'identification PureVPN d'un autre utilisateur lorsqu'un ordinateur Windows compte plusieurs utilisateurs s'ils se sont connectés avec succès. L'attaque se fait exclusivement via l'interface graphique, il n'est pas nécessaire d'utiliser un outil externe..”

Donc, en gros, vous devez ouvrir le client Windows, ouvrir Configuration, Profil utilisateur et cliquer sur "Afficher le mot de passe"..

Un porte-parole de PureVPN nous a envoyé la déclaration suivante.

"Ce n'est pas une vulnérabilité mais une fonctionnalité que nous avons déployée pour faciliter la tâche de nos utilisateurs. En avril 2018, lorsque Trustwave nous l'a signalé, nous avons évalué le risque et nous l'avons constaté au minimum en raison de la conception de nos systèmes. Afin de comprendre cette fonctionnalité et pourquoi nous l’avons considérée comme un risque minimal, veuillez lire ce qui suit:

Nos systèmes fonctionnent un peu différemment de la plupart des autres fournisseurs de VPN. Pour une sécurité renforcée, nous utilisons des mots de passe distincts pour les accès aux membres et aux réseaux privés virtuels. Le mot de passe de l'espace membre, qui est plus privilégié, n'est pas affiché dans les applications, c'est le mot de passe d'accès VPN qui fait l'objet de cette fonctionnalité. De plus, par défaut, nos mots de passe VPN sont générés par le système et ne sont pas définis par les utilisateurs. Cela limite le risque que les utilisateurs utilisent le même mot de passe pour les comptes VPN qu'ils utilisent pour leurs comptes sensibles ailleurs sur Internet. D'autre part, cette conception de sécurité améliorée s'est révélée un peu difficile pour bon nombre de nos utilisateurs et nous leur avons donc offert un moyen de récupérer facilement leur mot de passe VPN..

Pour l'instant, la communauté a fait part de ses préoccupations et confond avec le concept de vulnérabilité. Nous avons temporairement supprimé la fonctionnalité et publié une version plus récente, la 6.2.2. Nous souhaitons également informer les utilisateurs de notre groupe qui utilisent cette fonctionnalité pour récupérer le mot de passe distinct pour VPN que nous prévoyons de redéfinir l'avenir, en gardant ces préoccupations à l'esprit, et de le publier dans notre version de novembre 2018..

Nous utilisons Bugcrowd, un programme public de prospection de bogues qui emploie quelque 90 000 pirates informatiques éthiques pour tester notre produit. Nous restons en étroite collaboration avec la communauté InfoSec et avons donc mis en place des processus aussi agressifs et rationalisés pour avoir publié la nouvelle version 6.2.2 en quelques heures seulement.."

Ceux qui sont intéressés à en savoir plus sur les VPN et sur la manière dont ils contribuent à améliorer votre confidentialité en ligne, assurez-vous de lire notre article Best VPN.